蜜罐引流方法、装置、网关代理设备以及存储介质

技术领域

本申请涉及网络安全技术领域，更具体地，涉及一种蜜罐引流方法、装置、网关代理设备以及存储介质。

背景技术

传统的蜜罐产品中，大多数都需要单独部署蜜罐服务器，将蜜罐服务器静态部署在真实业务服务的网络空间中，或者通过探针技术进行旁路部署。但无论哪种部署方式，都需要在真实业务服务的网络空间中创建新的网络服务，导致蜜罐的网络互联协议(Internet Protocol，IP)地址、域名或者端口与真实业务服务不同，由此攻击者很可能会绕过蜜罐，而直接攻击已知网络地址的真实业务服务，导致蜜罐无法成功捕获威胁攻击。

发明内容

鉴于上述问题，本申请提出了一种蜜罐引流方法、装置、网关代理设备以及存储介质，以增强蜜罐的伪装性，并减少对真实业务服务对应的内网资源的改动，降低蜜罐部署的成本。

第一方面，本申请实施例提供了一种蜜罐引流方法，应用于网关代理设备，所述网关代理设备部署有欺骗诱饵，所述欺骗诱饵关联有应用层访问标的，所述应用层访问标的对应的网络地址与真实业务服务对应的网络地址相同，所述方法包括：获取终端设备发起的网络访问请求；若所述网络访问请求所访问的应用层访问标的与所述欺骗诱饵关联的应用层访问标的匹配，则将所述网络访问请求重定向至目标蜜罐，或者，基于网络访问请求的相关信息生成安全审计日志。

第二方面，本申请实施例提供了一种蜜罐引流装置，应用于网关代理设备，所述网关代理设备部署有欺骗诱饵，所述欺骗诱饵关联有应用层访问标的，所述应用层访问标的对应的网络地址与真实业务服务对应的网络地址相同，所述装置包括：请求获取模块以及地址重定向模块，其中，请求获取模块用于获取终端设备发起的网络访问请求；地址重定向模块用于若所述网络访问请求所访问的应用层访问标的与所述欺骗诱饵关联的应用层访问标的匹配，则将所述网络访问请求重定向至目标蜜罐，或者，基于网络访问请求的相关信息生成安全审计日志。

第三方面，本申请实施例提供了一种网关代理设备，包括：一个或多个处理器；存储器；一个或多个应用程序，其中所述一个或多个应用程序被存储在所述存储器中并被配置为由所述一个或多个处理器执行，所述一个或多个程序配置用于执行上述第一方面提供的蜜罐引流方法。

第四方面，本申请实施例提供了一种计算机可读取存储介质，所述计算机可读取存储介质中存储有程序代码，所述程序代码可被处理器调用执行上述第一方面提供的蜜罐引流方法。

本申请提供的方案，应用于网关代理设备，所述网关代理设备部署有欺骗诱饵，所述欺骗诱饵关联有应用层访问标的，所述应用层访问标的对应的网络地址与真实业务服务对应的网络地址相同。通过获取终端设备发起的网络访问请求；若所述网络访问请求所访问的应用层访问标的与所述欺骗诱饵关联的应用层访问标的匹配，则将所述网络访问请求重定向至目标蜜罐，或者，基于网络访问请求的相关信息生成安全审计日志。通过部署与真实业务服务具有相同网络地址的欺骗诱饵，将蜜罐内嵌在真实业务服务中，使蜜罐具有更强的伪装性，从而更容易捕获威胁；同时将通过蜜罐部署在网关代理设备上，能够减少对真实业务服务对应的内网资源的改动，降低蜜罐部署成本。

附图说明

为了更清楚地说明本申请实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1示出了本申请一个实施例提供的蜜罐引流方法的流程示意图。

图2示出了本申请实施例中网关代理设备的结构示意图。

图3示出了本申请另一个实施例提供的蜜罐引流方法的流程示意图。

图4示出了本申请另一个实施例中步骤S220的具体流程示意图。

图5示出了本申请实施例中蜜罐引流方法的流程示意图。

图6示出了本申请另一个实施例中步骤S250的具体流程示意图。

图7示出了本申请实施例提供的蜜罐引流装置的结构示意图。

图8示出了本申请实施例提供的一种网关代理设备的结构框图。

图9示出了本申请实施例提供的计算机可读取存储介质的结构框图。

具体实施方式

为了使本技术领域的人员更好地理解本申请方案，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述。

通常情况下，传统的蜜罐技术可以将蜜罐服务器静态部署在真实业务服务的网络空间中，或者为了降低蜜罐的部署成本，提高蜜罐感知范围，通过在真实业务服务、各个子网关设备和网络边界上部署欺骗探针，将欺骗探针与后台蜜罐关联的方式部署蜜罐。然而无论哪种蜜罐部署方式，都需要在真实业务服务的网络空间中创建新的网络服务，由于是全新的网络地址，蜜罐的IP、域名或端口均与真实业务服务不同。由此一旦攻击者不再展开网络服务扫描，只对已知的真实业务服务的网络地址展开攻击，那么就会避开已经部署的蜜罐，导致蜜罐无法成功捕获威胁。

因此，本申请提供了一种蜜罐引流方法、装置、计算机设备以及存储介质，通过部署与真实业务服务具有相同网络地址的欺骗诱饵，将蜜罐内嵌在真实业务服务中，使蜜罐具有更强的伪装性，从而更容易捕获威胁；同时将通过蜜罐部署在网关代理设备上，能够减少对真实业务服务对应的内网资源的改动，降低蜜罐部署成本。

请参阅图1，图1示出了本申请一个实施例提供的蜜罐引流方法的流程示意图，应用于网关代理设备，所述网关代理设备部署有欺骗诱饵，所述欺骗诱饵关联有应用层访问标的，所述应用层访问标的对应的网络地址与真实业务服务对应的网络地址相同。下面将针对图1所示流程进行详细阐述，所述蜜罐引流方法具体可以包括以下步骤：

步骤S110：获取终端设备发起的网络访问请求。

在本申请实施例中，用户可以通过终端设备向网关代理设备发起网络访问请求，用以告知网关代理设备当前发起网络访问请求的用户的相关信息以及该用户想要访问的资源信息等。其中，若网关代理设备为零信任网关代理设备，那么该网关代理设备还具有控制用户访问真实业务服务的权限，也就是说，如果外网的用户想要访问真实业务服务，并通过终端设备发起网络访问请求后，网关代理设备可以对网络访问请求中的数据包进行解析，获取网络访问请求数据包中记录的用户信息和资源信息等，进而基于这些用户信息和资源信息对网络访问请求进行转发。具体来说，如果网络访问请求对应的资源信息中所请求访问的应用层标的是合法的(不与任一个欺骗诱饵关联的应用层访问标的匹配)，那么网关代理设备可以将该网络访问请求转发到对应的真实业务服务地址上，但如果网络访问请求所访问的应用层访问标的与预先配置的任一个欺骗诱饵关联的应用层访问标的匹配，那么网关代理设备可以将其视为威胁访问，并将该网络访问请求引流至对应的蜜罐中。

其中，应用层访问标的即统一资源定位器(Uniform Resource Locator，URL)路径，用户通过终端设备发起的网络访问请求中的资源信息中也包括了用户想要访问的URL路径。网关代理设备可以预先将一些真实业务服务中不存在，但对于攻击者具有吸引性的URL路径作为欺骗诱饵，这些欺骗诱饵由于在真实业务服务中不存在，也就是对于普通用户是不可见的，那么网关代理设备对网络访问请求进行解析后，一旦确认网络访问请求所请求访问的URL路径与欺骗诱饵中的任一个匹配，则可以确认此时发起网络访问请求的用户为恶意的攻击者。由此，网关代理设备可以将网络访问请求重定向至目标蜜罐中，通过目标蜜罐诱导获取攻击者的更多信息，或者直接断开网络连接，并基于网络访问请求中已经存在的用户信息和资源信息生成安全审计日志。

但应当理解的是，每个欺骗诱饵关联有一个应用层访问标的，真实业务服务中也存在多个不同的应用层访问标的，这些应用层访问标的即URL路径是不同的，但欺骗诱饵关联的应用层访问标的与真实业务服务中的应用层访问标的均具有相同的网络地址，也就是具有相同的IP地址和端口(在一种具体实施例中，具有和真实业务服务相同的域名)。由此对于攻击者而言，只能看到其所访问的网络地址与真实业务服务的网络地址是相同的，而误以为正在访问真实业务服务，但实际上其所访问的URL路径并不是真实业务服务中的URL路径，而是预先配置的欺骗诱饵关联的URL路径。由此网关代理设备还可以在攻击者不知情的情况下，通过蜜罐与攻击者交互，获取攻击者的更多信息。

在一些实施方式中，零信任网关代理设备是指具备网络协议代理能力的产品，例如零信任访问(SDP)类型产品、虚拟专用网络(VPN)类型产品、零信任安全架构类型产品、零信任安全访问服务边缘(SASE)访问类型产品、零信任网络访问(ZTNA)类型产品、蜜罐类型产品等，在此可以不做限定。

具体来说，由于零信任网关代理设备具有控制用户访问真实业务系统的权限，因此会对用户通过终端设备发起的每一条网络访问请求进行解析，以便于确定每一条网络访问请求所访问的应用层访问标的是否合法。也就是说，网关代理设备对网络访问请求进行解析得到的解析结果中，必然包括了资源信息如网络访问请求想要访问的URL路径，以及发起网络访问请求的用户相关的用户信息。在一些实施方式中，网关代理设备可以通过通用的传输协议对网络访问请求进行解析，如HTTP、HTTPS、SSH、FTP、IDAP、MYSQL或者RDP等协议，在此可以不做限定。

步骤S120：若所述网络访问请求所访问的应用层访问标的与所述欺骗诱饵关联的应用层访问标的匹配，则将所述网络访问请求重定向至目标蜜罐，或者，基于网络访问请求的相关信息生成安全审计日志。

在本申请实施例中，在获取终端设备发起的网络访问请求，并且得到网络访问请求中用户想要访问的应用层访问标的后，可以将该应用层访问标的与网关代理设备中预先部署好的各个欺骗探针分别关联的应用层访问标的进行匹配，由此判断网络访问请求想要访问的URL路径是否合法，即在真实业务服务中是否真实存在。显然，网关代理设备中预先部署的欺骗诱饵关联的应用层访问标的，都是真实业务服务中不存在的URL路径，若普通用户通过公开的交互界面访问企业资源，那么是不可能通过终端设备发起访问这些不存在的URL路径的网络访问请求的，因此，一旦网络代理设备接收到访问这些真实业务服务中不存在的URL路径的网络访问请求时，就可以确认这些网络访问请求大概率是攻击者发起的恶意访问。由此，一旦网络访问请求所访问的应用层访问标的与任一个欺骗诱饵关联的应用层访问标的相匹配，网关代理设备都可以将网络访问请求重定向至目标蜜罐中，以通过目标蜜罐与攻击者进行交互，套取攻击者更多信息，或者直接基于网络访问请求中携带的用户信息和资源信息，生成安全审计日志。

可以理解的，网关代理设备上预先部署的欺骗诱饵关联的应用层访问标的即URL路径，在真实业务服务中是没有被使用的，但这些URL路径对于攻击者而言具有吸引力的，也就是说，一旦网关代理设备接收到了所访问的应用层访问标的在真实业务服务中不存在但与欺骗诱饵关联的应用层访问标的所匹配的网络访问请求，那么这个网络访问请求有较大的概率是恶意的攻击者发起的，由此网关代理设备所产生的安全审计日志也就具有较高的置信度。

在一些实施方式中，如图2所示，普通用户或者攻击者可以通过终端设备发起访问企业资源的网络访问请求，此时零信任网关代理设备可以对网络访问请求进行解析，确认网络访问请求所访问的应用层访问标的，如果网络访问请求所访问的应用层访问标的与网关代理设备上预先部署的所有欺骗诱饵关联的应用层访问标的均不匹配，那么此时网络访问请求大概率是普通用户所发起的请求，网关代理设备可以正常地将该网络访问请求转发至真实业务服务上，用户也就可以顺利地对真实业务服务进行访问。但如果网络访问请求所访问的应用层访问标的与其中某个欺骗诱饵关联的应用层访问标的匹配，那么此时网关代理设备可以将这个网络访问请求重定向至目标蜜罐中，通过目标蜜罐与攻击者进行交互以获取攻击者更多的信息，进而生成相应的安全审计日志，网关代理设备也可以直接基于网络访问请求中携带的资源信息和用户信息等，生成相应的安全审计日志。由此后续技术人员可以基于安全审计日志进行分析、溯源和审计。

在一些实施方式中，网关代理设备生成的安全审计日志中可以包括攻击者发起网络访问请求所使用的用户账号等用户信息、请求访问的资源信息、实际访问的蜜罐信息、连接建立后发送的数据包的数据信息以及发起网络访问请求的终端设备信息等。

在一些实施方式中，网关代理设备具体为：基于身份认证的网关代理设备。比如：零信任网关代理设备。若网络访问请求所访问的应用层访问标的与欺骗诱饵关联的应用层访问标的匹配，则将网络访问请求重定向至目标蜜罐，并且将网络访问请求对应的用户身份信息发送至目标蜜罐，以便于目标蜜罐在结束与攻击者的交互之后，可以基于网络访问请求对应的用户身份信息，生成相应的安全审计日志，使安全审计日志中记录更加详细的攻击者相关信息。

在另一些实施方式中，网关代理设备具体为：零信任网关代理设备。若网络访问请求所访问的应用层访问标的与欺骗诱饵关联的应用层访问标的匹配，则基于网络访问请求对应的相关信息生成安全审计日志，其中，网络访问请求的相关信息中包括：用户身份信息。也就是说，网络访问请求中还包括发起访问请求的用户身份信息，如果网关代理设备在确认网络访问请求为恶意的非法请求后，直接生成安全审计日志，那么也可以在安全审计日志中记录网络访问请求中携带的用户身份信息，以便于后续技术人员能够基于安全审计日志获取更多的信息。

在一些实施方式中，如图2所示，零信任控制中心可以预先对零信任网关代理设备中的欺骗诱饵以及蜜罐进行管理，也就是预先将企业资源中闲置的但对于攻击者具有吸引性的URL路径设置为欺骗诱饵，具体来说，可以设置为欺骗探针或者URL蜜标，并且基于常见的交互界面设置多个不同的蜜罐，形成蜜罐资源池。由此在网关代理设备解析确定网络访问请求所访问的应用层访问标的与欺骗诱饵中的某个欺骗探针关联的应用层访问标的匹配时，就可以从蜜罐资源池中为该网络访问请求分配一个蜜罐作为目标蜜罐。

可以理解的，传统的蜜罐技术一般是将企业资源中一个空闲的IP设置为蜜罐，在攻击者对企业资源进行网络服务扫描的过程中，会扫描到这个蜜罐IP的真实主机，攻击者如果对这个IP感兴趣的话就会访问。但在无法确定攻击者意图的情况下，一旦攻击者不展开网络服务扫描，而只对已知的真实业务服务的IP地址展开攻击，那么攻击者无法获取蜜罐IP，蜜罐也无法捕获这个攻击行为。因此，本申请实施例中可以将欺骗诱饵内嵌在真实业务服务的IP地址内，使欺骗诱饵与真实业务服务能够表现出相同的网络地址，那么攻击者即使仍然只针对已知的真实业务服务的网络地址展开攻击，但对应的网络服务请求还是会落入网关代理设备中预先配置的欺骗诱饵中。显然，这种蜜罐部署方式能够使欺骗诱饵具有更强的伪装性，更容易捕获威胁攻击。

当然，本申请实施例中之所以能够实现欺骗诱饵与真实业务服务具有相同的网络地址，是因为零信任网关代理设备可以对网络访问请求做细粒度更高的访问地址的区分，也就是可以解析得到网络访问请求中请求访问的URL路径，而不仅仅是请求访问的网络地址。具体来说，在一些实施方式中，网关代理设备可以预先将真实业务服务对应的网络地址中的一些不存在但攻击者感兴趣的敏感的URL路径，设置为欺骗诱饵，如/rest-password/或者/admin/login等；在另一些实施方式中，对于泛域名的真实业务服务，可以选取其中没有被使用的子域名资源设置为欺骗诱饵，例如bbs、cloud等攻击者感兴趣的敏感字段；在又一些实施方式中，针对攻击者可能发起的字典扫描攻击，网关代理设备还可以选择其中常见且敏感的URL路径，将其设置为欺骗诱饵，以检测攻击行为并保护真实业务服务。显然，上述被设置为欺骗诱饵的URL路径，对于发起网络访问请求的攻击者或普通用户而言，都是与真实业务服务具有相同网络地址的，但实际上，这些欺骗诱饵关联的URL路径由于在真实业务服务中并不存在，因此对于普通用户是不可见的。也就是说，一旦网关代理设备接收到想要访问上述任一个URL路径的网络访问请求，表明此时发起这个网络访问请求的用户大概率是恶意的攻击者。此时，网关代理设备就可以将该网络访问请求转发至目标蜜罐中，或者直接基于网络访问请求生成相应的安全审查日志。

本申请实施例提供的蜜罐引流方法，应用于网关代理设备，所述网关代理设备部署有欺骗诱饵，所述欺骗诱饵关联有应用层访问标的，所述应用层访问标的对应的网络地址与真实业务服务对应的网络地址相同。通过获取终端设备发起的网络访问请求；若所述网络访问请求所访问的应用层访问标的与所述欺骗诱饵关联的应用层访问标的匹配，则将所述网络访问请求重定向至目标蜜罐，或者，基于网络访问请求的相关信息生成安全审计日志。通过部署与真实业务服务具有相同网络地址的欺骗诱饵，将蜜罐内嵌在真实业务服务中，使蜜罐具有更强的伪装性，从而更容易捕获威胁；同时将通过蜜罐部署在网关代理设备上，能够减少对真实业务服务对应的内网资源的改动，降低蜜罐部署成本。

请参阅图3，图3示出了本申请另一个实施例提供的蜜罐引流方法的流程示意图，应用于网关代理设备，所述网关代理设备部署有欺骗诱饵，所述欺骗诱饵关联有应用层访问标的，所述应用层访问标的对应的网络地址与真实业务服务对应的网络地址相同下面将针对图3所示流程进行详细阐述，所述蜜罐引流方法具体可以包括以下步骤：

步骤S210：获取终端设备发起的网络访问请求。

在一些实施方式中，若网络访问请求所访问的应用层访问标的与欺骗诱饵关联的第二类应用层访问标的匹配，则基于网络访问请求对应的相关信息生成安全审计日志。

具体来说，网关代理设备中部署的欺骗诱饵可以包括欺骗探针以及URL蜜标，无论是欺骗探针还是URL蜜标均可以关联一个应用层访问标的，为了便于区分，网关代理设备可以将欺骗探针关联的应用层访问标的作为欺骗诱饵关联的第一类应用层访问标的，将URL蜜标关联的应用层访问标的作为欺骗诱饵关联的第二类应用层访问标的。其中，将欺骗探针与URL蜜标进行区分的目的，是为了在不同的匹配情况下执行不同的操作。具体来说，若网络访问请求所访问的应用层访问标的与欺骗探针关联的应用层访问标的匹配，那么网关代理设备会将网络访问请求重定向至目标蜜罐中，以通过目标蜜罐与发起网络访问请求的用户进行交互，若网络访问请求所访问的应用层访问标的与URL蜜标关联的应用层访问标的匹配，那么网关代理设备会直接基于网络访问请求生成安全审计日志。

可以理解的，在网络访问请求所访问的应用层访问标的与欺骗探针关联的应用层访问标的匹配的情况下，将网络访问请求引流至目标蜜罐，通过目标蜜罐与攻击者进行交互，这种方法是存在风险的，一旦蜜罐本身存在漏洞，攻击者就可能会入侵到蜜罐服务中，导致攻击者获取更多的权限，得到更多的敏感资源。因此，对于一些不受信任的蜜罐产品，网关代理设备可以将其对应的URL路径设置为蜜标，也就是在接收到请求对这些URL路径进行访问的网络访问请求后，网关代理设备可以直接基于网络访问请求生成相应的安全审查日志，而不再引流至蜜罐中，避免由于蜜罐而泄漏更多的敏感信息。

步骤S220：若所述网络访问请求所访问的应用层访问标的与所述欺骗诱饵关联的第一类应用层访问标的匹配，则将所述网络访问请求重定向至目标蜜罐。

欺骗诱饵关联的第一类应用层访问标的，是指欺骗诱饵中被设置为欺骗探针所关联的应用层访问标的，如果网关代理设备接收到的网络访问请求所访问的应用层访问标的与欺骗诱饵关联的第一类应用层访问标的匹配，那么网关代理设备可以将网络访问请求重定向至目标蜜罐中，以便于目标蜜罐与发起网络访问请求的用户之间进行交互，并套取用户的更多信息。

在一些实施方式中，目标蜜罐可以部署在零信任网关代理设备或零信任控制器上，也可以单独部署，目标蜜罐也可以是其他蜜罐产品，也就是网关代理设备在确认网络访问请求所访问的应用层访问标的与欺骗探针关联的应用层访问标的匹配时，将网络访问请求重定向至第三方的蜜罐产品中。

在一些实施方式中，如图4所示，网关代理设备可以通过下述步骤，在网络访问请求所访问的应用层访问标的与欺骗诱饵关联的第一类应用层访问标的匹配的情况下，将网络访问请求重定向至目标蜜罐中：

步骤S221：若所述网络访问请求所访问的应用层访问标的与所述欺骗诱饵关联的第一类应用层访问标的匹配，获取所述网络访问请求对应的资源标识，所述资源标识用于标识所述网络访问请求所请求访问的业务资源。

在本申请实施例中，零信任控制中心会预先配置多个不同的蜜罐，形成蜜罐资源池，其中每个蜜罐对外所展示的页面以及交互的过程不同，网关代理设备在网络访问请求所访问的应用层访问标的与欺骗诱饵关联的第一类应用层访问标的匹配的情况下，会在蜜罐资源池中个选取一个合适的蜜罐作为目标蜜罐，将网络访问请求重定向至目标蜜罐中。因此，在确定网络访问请求所访问的应用层访问标的与欺骗诱饵关联的第一类应用层访问标的匹配的情况下，网关代理设备还可以获取网络访问请求对应的资源标识，以便于根据资源标识在蜜罐资源池中选取合适的蜜罐作为目标蜜罐。

步骤S222：基于所述资源标识，为所述资源标识对应的目标蜜罐设置专有断开时长，所述专有断开时长用于在所述网络访问请求与目标蜜罐之间在专有断开时长内不存在应用层交互的情况下，自动断开网络访问请求与目标蜜罐之间的连接关系。

在本申请实施例中，网关代理设备在将网络访问请求重定向至目标蜜罐，也就是在终端设备与目标蜜罐建立连接后，如果终端设备与目标蜜罐之间始终没有产生应用层交互，那么网关代理设备会在一个固定时长之后自动断开终端设备与目标蜜罐之间的连接，这个固定时长也就是目标蜜罐对应的专有断开时长，网关代理设置为目标蜜罐设置专有断开时长是为了避免目标蜜罐始终被占用，但却没有获取其他有效信息。但如果将所有的蜜罐均设置相同的专有断开时长，那么攻击者可能会基于相同的专有断开时长，试探出每个欺骗探针关联的应用层访问标的。因此，如图5流程图所示，为了避免攻击者通过相同的专有断开时长确定欺骗诱饵关联的应用层访问标的，网关代理设备可以为每个蜜罐设置不同的专有断开时长。也就是说，网关代理设备在基于网络访问请求对应的资源标识为网络访问请求分配对应的目标蜜罐之前，还可以基于资源标识号，为资源标识对应的目标蜜罐设置一个专有断开时长。如果终端设备在与目标蜜罐建立连接之后不再产生应用层交互，那么网关代理设备会在连接时长达到专有断开时长之后时，自动断开终端设备与目标蜜罐之间的连接，避免目标蜜罐始终被占用。

步骤S223：将所述网络访问请求重定向至所述资源标识对应的目标蜜罐。

在本申请实施例中，网关代理设备中存储有不同的资源标识与不同的蜜罐之间的对应关系，一旦网关代理设备所接收到的网络访问请求所访问的应用层访问标的与其中部署的任一个欺骗诱饵关联的应用层访问标的匹配，那么网关代理设备就可以基于网络访问请求对应的资源标识，为其分配一个对应的目标蜜罐，并将网络访问请求重定向至目标蜜罐，以便于目标蜜罐与发起网络服务请求的攻击者进行交互，吸引并反制攻击者，获取攻击者的更多信息，其中，目标蜜罐与攻击者之间的交互可以包括账号注册、密码找回等交互内容。

在一些实施方式中，管理人员可以预先通过零信任控制中心向零信任网关代理设备下发资源标识与蜜罐之间的匹配规则，如果网络访问请求对应的资源标识与匹配规则中的某一项匹配，那么可以将该匹配规则对应的蜜罐作为目标蜜罐，以将网络访问请求重定向目标蜜罐中。但若资源标识在匹配规则中无法匹配其中任一项规则，那么网关代理设备可以为该网络访问请求匹配一个空蜜罐，也就是将网络访问请求重定向至一个空的目标蜜罐，如图5流程图中所示。此时，空的目标蜜罐不会与攻击者产生任何交互，网关代理设备只需基于这个空的目标蜜罐读取建立连接的网络访问请求的流量即可。

步骤S230：获取所述网络访问请求与所述目标蜜罐之间交互的行为记录，所述行为记录为应用层交互的行为数据。

在本申请实施例中，网关代理设备在将攻击者发起的网络访问请求重定向至目标蜜罐后，可以在目标蜜罐与攻击者之间进行交互的过程中，获取网络访问请求与目标蜜罐之间交互的行为记录，也就是二者之间所产生的应用层交互的数据。网关代理设备可以基于应用层交互的行为数据生成相应的安全审计日志。

步骤S240：若所述行为记录不为空，并且所述行为数据对应的目标数据格式与所述目标蜜罐对应的第一网络服务协议的第一数据格式匹配，则输出第一安全审计日志，所述第一安全审计日志用于指示存在针对该目标蜜罐的访问安全事件，且可以在第一安全审计日志中写明：所述网络访问请求中存在蜜罐访问事件并且所述网络访问请求对应的所述行为数据为所述第一数据格式。

在本申请实施例中，网关代理设备在终端设备与目标蜜罐之间建立连接后，可以获取二者之间产生交互的所有行为记录。其中，如果终端设备通过网络访问请求与目标蜜罐建立了连接之后，仍然产生了应用层交互，也就是行为记录不为空，那么网关代理设备就可以进一步获取应用层交互过程中的行为数据，并对这些行为数据的数据格式进行进一步的确认，以便于在后续生成的安全审计日志中记录更多的网络访问请求的相关信息。具体来说，不同的目标蜜罐可以对应不同的网络服务协议，网关代理设备可以先将应用层交互的行为数据与目标蜜罐对应的第一网络服务协议的第一数据格式进行匹配，基于匹配结果判断行为数据对应的目标数据格式是否为第一数据格式。显然，如图5流程图所示，若网络访问请求对应的行为数据的目标数据格式与目标蜜罐对应的第一网络服务协议的第一数据格式匹配，那么网关代理设备就可以输出第一安全审计日志，以指示网络访问请求中存在蜜罐访问事件并且网络访问请求对应的行为数据为第一数据格式。例如，若目标蜜罐为HTTPS蜜罐，那么若网络访问请求对应的行为数据的目标数据格式与HTTPS的第一数据格式匹配，则网络访问请求对应的行为数据为HTTPS数据格式。

步骤S250：若所述目标数据格式与所述第一数据格式不匹配，则对所述行为数据进行未知流量检测。

在本申请实施例中，如果行为数据对应的目标数据格式与目标蜜罐对应的第一网络服务协议的第一数据格式不匹配，表明此时行为数据对应的目标数据格式并不是预期的数据格式，此时为了使输出的安全审计日志中能够记录更多与行为数据相关的信息，网关代理设备可以进一步对行为数据进行未知流量检测，以确定行为数据对应的目标数据格式对应的网络服务协议。

在一些实施方式中，如图6所示，若目标数据格式与第一数据格式不匹配，那么网关代理设备还可以通过下述步骤对行为数据进行未知流量检测：

步骤S251：若所述目标数据格式与所述第一数据格式不匹配，则将所述目标数据格式与除所述第一网络服务协议以外的其他网络服务协议对应的数据格式进行匹配。

步骤S252：若所述目标数据格式与所述其他网络服务协议中的第二网络服务协议对应的第二数据格式匹配，则输出第二安全审计日志，所述第二安全审计日志用于指示存在非预期蜜罐访问安全事件，并且可在第二安全审计日志中写明：所述网络访问请求中存在蜜罐访问事件并且所述网络访问请求对应的所述行为数据为所述第二数据格式。

在本申请实施例中，网络服务协议可以包括如https、http、ssh、ftp、ldap、mysql、rdp等多种协议，目标蜜罐对应的第一网络服务协议可以为其中的任意一种。可以理解的，如果行为数据对应的目标数据格式与第一网络服务协议对应的第一数据格式并不匹配，此时行为数据也可能与其他网络服务协议对应的数据格式匹配。因此，对行为数据进行未知流量检测，就是将行为数据依次与其他网络服务协议对应的数据格式进行匹配。其中，如果行为数据对应的目标数据格式与其他网络服务协议中的第二网络服务协议对应的第二数据格式匹配，那么表明行为数据为第二数据格式，其后网关代理设备就可以输出第二安全审计日志，以指示网络访问请求中存在蜜罐访问事件并且网络访问请求对应的行为数据为第二数据格式。

步骤S253：若所述目标数据格式与所述其他网络服务协议中的每个网络服务协议对应的数据格式均不匹配，则输出第三安全审计日志，所述第三安全审计日志用于指示所述网络访问请求中存在蜜罐访问事件并且所述网络访问请求对应的所述流量数据为无规则格式数据。

在本申请实施例中，显然，如果行为数据与其他网络服务协议中的所有网络服务协议对应的数据格式均不匹配，那么此时网络访问请求对应的行为数据很可能只是乱码，并不能表征任何实际含义。此时网关代理设备可以输出第三安全审计日志，以指示存在未知流量蜜罐访问安全事件，并可进一步写明：网络访问请求中存在蜜罐访问事件并且网络访问请求中对应的行为数据为无规则格式的数据。

步骤S260：若所述行为记录为空，则基于所述网络访问请求记录系统日志。

在本申请实施例中，网关代理设备在终端设备与目标蜜罐之间建立连接后，可以获取二者之间产生交互的所有行为记录。其中，如果终端设备通过网络访问请求与目标蜜罐建立了连接之后，不再进行任何数据包传输，也就是行为记录为空，即网络访问请求与目标蜜罐之间不存在应用层交互，那么网关代理设备可以连接时长达到在目标蜜罐对应的专有断开时长时，断开终端设备与目标蜜罐之间的连接，同时直接基于建立连接的网络访问请求，记录相关系统日志即可。值得注意的是，此时终端设备之所以与目标蜜罐建立了连接，可能是终端设备上的安全软件对真实业务服务的网络地址进行了全路径扫描，从而扫描到了网关代理设备上部署的欺骗探针，进而与目标蜜罐建立了连接。但由于普通用户无法针对欺骗诱饵关联的应用层访问标的进行进一步的交互，也就是不会与目标蜜罐产生应用层交互，那么此时网关代理设备就可以仅基于网络访问请求记录相关的系统日志即可。

本申请实施例提供的蜜罐引流方法，通过获取终端设备发起的网络访问请求，若所述网络访问请求所访问的应用层访问标的与所述欺骗诱饵关联的第一类应用层访问标的匹配，则将所述网络访问请求重定向至目标蜜罐，获取所述网络访问请求与所述目标蜜罐之间交互的行为记录，所述行为记录为应用层交互的行为数据，若所述行为记录不为空，并且所述行为数据对应的目标数据格式与所述目标蜜罐对应的第一网络服务协议的第一数据格式匹配，则输出第一安全审计日志，若所述目标数据格式与所述第一数据格式不匹配，则对所述行为数据进行未知流量检测。通过内嵌在真实业务服务中的欺骗探针和蜜标，使蜜罐和蜜标更具有伪装性，同时可以避免入侵真实业务服务的网络空间，能够降低蜜罐的部署成本；还可以通过蜜罐获得攻击者对应的身份信息，使输出的安全审计日志中包括攻击者账号信息、终端信息和网络信息等；并且由于欺骗探针和蜜标对应的网络地址对普通用户不可见，因此生成的安全审计日志具有更高的置信度，可以在无人工监督的情况下自动处置。

请参阅图7，其示出了本申请一种实施例提供的蜜罐引流装置200的结构框图，应用于网关代理设备，所述网关代理设备部署有欺骗诱饵，所述欺骗诱饵关联有应用层访问标的，所述应用层访问标的对应的网络地址与真实业务服务对应的网络地址相同。蜜罐引流装置200包括：请求获取模块210以及地址重定向模块220。其中，请求获取模块210用于获取终端设备发起的网络访问请求；地址重定向模块220用于若所述网络访问请求所访问的应用层访问标的与所述欺骗诱饵关联的应用层访问标的匹配，则将所述网络访问请求重定向至目标蜜罐；或者，基于所述网络访问请求对应的相关信息生成安全审计日志。

作为一种可能的实施方式，所述网关代理设备具体为：零信任网关代理设备。地址重定向模块220还包括第一重定向单元以及第二重定向单元，第一重定向单元用于若所述网络访问请求所访问的应用层访问标的与所述欺骗诱饵关联的应用层访问标的匹配，则将所述网络访问请求重定向至目标蜜罐，并且将所述网络访问请求对应的用户身份信息发送至所述目标蜜罐；第二重定向单元用于若所述网络访问请求所访问的应用层访问标的与所述欺骗诱饵关联的应用层访问标的匹配，则基于网络访问请求对应的相关信息生成安全审计日志，其中，所述网络访问请求的相关信息中包括：用户身份信息。

作为一种可能的实施方式，地址重定向模块220还包括第一匹配单元以及第二匹配单元。第一匹配单元用于若所述网络访问请求所访问的应用层访问标的与所述欺骗诱饵关联的第一类应用层访问标的匹配，则将所述网络访问请求重定向至目标蜜罐；第二匹配单元用于若所述网络访问请求所访问的应用层访问标的与所述欺骗诱饵关联的第二类应用层访问标的匹配，则基于所述网络访问请求对应的相关信息生成安全审计日志。

作为一种可能的实施方式，第一匹配单元还用于若所述网络访问请求所访问的应用层访问标的与所述欺骗诱饵关联的第一类应用层访问标的匹配，获取所述网络访问请求对应的资源标识，所述资源标识用于标识所述网络访问请求所请求访问的业务资源；基于所述资源标识，为所述资源标识对应的目标蜜罐设置专有断开时长，所述专有断开时长用于在所述网络访问请求与目标蜜罐之间在专有断开时长内不存在应用层交互的情况下，自动断开网络访问请求与目标蜜罐之间的连接关系；将所述网络访问请求重定向至所述资源标识对应的目标蜜罐。

作为一种可能的实施方式，地址重定向模块220还包括行为记录单元、数据匹配单元以及流量检测单元。其中行为记录单元用于获取所述网络访问请求与所述目标蜜罐之间交互的行为记录，所述行为记录为应用层交互的行为数据；数据匹配单元用于若所述行为记录不为空，并且所述行为数据对应的目标数据格式与所述目标蜜罐对应的第一网络服务协议的第一数据格式匹配，则输出第一安全审计日志，所述第一安全审计日志用于指示所述网络访问请求中存在蜜罐访问事件并且所述网络访问请求对应的所述行为数据为所述第一数据格式；流量检测单元用于若所述目标数据格式与所述第一数据格式不匹配，则对所述行为数据进行未知流量检测。

作为一种可能的实施方式，流量检测单元还用于若所述目标数据格式与所述第一数据格式不匹配，则将所述目标数据格式与除所述第一网络服务协议以外的其他网络服务协议对应的数据格式进行匹配；若所述目标数据格式与所述其他网络服务协议中的第二网络服务协议对应的第二数据格式匹配，则输出第二安全审计日志，所述第二安全审计日志用于指示所述网络访问请求中存在蜜罐访问事件并且所述网络访问请求对应的所述行为数据为所述第二数据格式；若所述目标数据格式与所述其他网络服务协议中的每个网络服务协议对应的数据格式均不匹配，则输出第三安全审计日志，所述第三安全审计日志用于指示所述网络访问请求中存在蜜罐访问事件并且所述网络访问请求对应的所述行为数据为无规则格式数据。

作为一种可能的实施方式，地址重定向模块220还包括日志记录单元，用于若所述行为记录为空，则基于所述网络访问请求记录系统日志。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述装置和模块的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，模块相互之间的耦合可以是电性，机械或其它形式的耦合。

另外，在本申请各个实施例中的各功能模块可以集成在一个处理模块中，也可以是各个模块单独物理存在，也可以两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。

综上所述，本申请提供的方案，应用于零信任网关代理设备，所述零信任网关代理设备部署有欺骗探针，所述欺骗探针对应的域名与真实业务服务对应的域名相同。通过获取终端设备发起的网络访问请求；若所述网络访问请求对应的访问地址与所述欺骗探针对应的网络地址匹配，则将所述访问地址重定向至所述网络访问请求对应的目标蜜罐，所述目标蜜罐对应的域名与所述真实业务服务对应的域名相同。通过部署与真实业务服务具有相同域名的欺骗探针和蜜罐，将蜜罐内嵌在真实业务服务中，使蜜罐具有更强的伪装性，从而更容易捕获威胁；同时将通过蜜罐部署在零信任网关代理设备上，能够减少对真实业务服务的内网资源的改动，降低蜜罐部署成本。

请参考图8，其示出了本申请实施例提供的一种网关代理设备400的结构框图。本申请中的网关代理设备400可以包括一个或多个如下部件：处理器410、存储器420、以及一个或多个应用程序，其中一个或多个应用程序可以被存储在存储器420中并被配置为由一个或多个处理器410执行，一个或多个程序配置用于执行如前述方法实施例所描述的方法。

处理器410可以包括一个或者多个处理核。处理器410利用各种接口和线路连接整个计算机设备内的各个部分，通过运行或执行存储在存储器420内的指令、程序、代码集或指令集，以及调用存储在存储器420内的数据，执行计算机设备的各种功能和处理数据。可选地，处理器410可以采用数字信号处理(Digital Signal Processing，DSP)、现场可编程门阵列(Field－Programmable Gate Array，FPGA)、可编程逻辑阵列(Programmable LogicArray，PLA)中的至少一种硬件形式来实现。处理器410可集成中央处理器(CentralProcessing Unit，CPU)、图形处理器(Graphics Processing Unit，GPU)和调制解调器等中的一种或几种的组合。其中，CPU主要处理操作系统、用户界面和应用程序等；GPU用于负责显示内容的渲染和绘制；调制解调器用于处理无线通信。可以理解的是，上述调制解调器也可以不集成到处理器410中，单独通过一块通信芯片进行实现。

存储器420可以包括随机存储器(Random Access Memory，RAM)，也可以包括只读存储器(Read-Only Memory)。存储器420可用于存储指令、程序、代码、代码集或指令集。存储器420可包括存储程序区和存储数据区，其中，存储程序区可存储用于实现操作系统的指令、用于实现至少一个功能的指令(比如触控功能、声音播放功能、图像播放功能等)、用于实现下述各个方法实施例的指令等。存储数据区还可以存储计算机设备在使用中所创建的数据(比如电话本、音视频数据、聊天记录数据)等。

请参考图9，其示出了本申请实施例提供的一种计算机可读存储介质的结构框图。该计算机可读介质800中存储有程序代码，所述程序代码可被处理器调用执行上述方法实施例中所描述的方法。

计算机可读存储介质800可以是诸如闪存、EEPROM(电可擦除可编程只读存储器)、EPROM、硬盘或者ROM之类的电子存储器。可选地，计算机可读存储介质800包括非易失性计算机可读介质(non-transitory computer-readable storage medium)。计算机可读存储介质800具有执行上述方法中的任何方法步骤的程序代码810的存储空间。这些程序代码可以从一个或者多个计算机程序产品中读出或者写入到这一个或者多个计算机程序产品中。程序代码810可以例如以适当形式进行压缩。

最后应说明的是：以上实施例仅用以说明本申请的技术方案，而非对其限制；尽管参照前述实施例对本申请进行了详细的说明，本领域的普通技术人员当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不驱使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。